4.6 国际数据传输
欧洲数据保护法普遍禁止将个人数据传输到欧洲经济区以外的任何国家或任何国际政府组织(GDPR,第44条)。然而,如果通过适当的出口合规机制启用,这种转移仍然很普遍。
4.6.1 充分性确定和隐私保护
可以根据充分性决定将个人数据传输到领土:欧盟委员会裁定接收领土(或IGO )已就个人数据建立了充分的法律保护( GDPR ,第45 条)。获得充分性决定的过程是应提议的接收国的要求发起的,通常需要多年的技术评估和外交谈判。
充分性确定分为两类:接收地区的法律通常足以保护个人数据的决定,以及只要满足特殊条件,接收地区的法律就足够的决定。有关加拿大和美国的决定都属于第二类。就加拿大而言,仅在向商业营利部门转移时才能保证充分性,因为相关加拿大法律不适用于政府或慈善机构的处理。
美国有一段艰难的历史。美国在处理个人数据方面没有欧盟那样的普遍法律保护。为了实现数据传输,美国和欧盟已经通过谈判达成了具体协议,以支持充分性调查结果。这项协议使大多数美国企业,如果他们愿意的话,可以选择加入一个提供充分性的监管体系。这一监管体系随后由美国各州的机构对美国企业中的被选中者实施。2015年10月,欧洲法院在Schrems一案中宣布原系统“安全港”无效。2016年,它很快被欧盟-美国隐私保护制度所取代,该制度的运作方式类似于安全港,对数据主体的保护得到了加强。
4.6.2 受保障的转移
当采取适当的保护措施时,也允许转移(GDPR,第 46 条)。通常遇到的最常见的保障措施是具有约束力的公司规则,以及出口商和进口商之间合同中批准的数据保护条款。
具有约束力的公司规则是跨国企业通常采用的治理程序,旨在向数据保护机构证明他们将遵守数据保护原则( GDPR ,第 47 条)。为了有效地实现数据传输合规性,此类规则必须得到相关公共机构的批准。这可能需要数年的时间来谈判。虽然此类规则最初是作为一种工具开发的,以便在EEA内外运营的跨国数据控制企业的成员之间共享个人数据,但最近它们已被非居民云服务提供商用作合规工具促进欧洲经济区客户的业务. 可能会要求从业者协助起草或协商具有约束力的公司规则,因为它们对 IT 服务、安全架构和治理程序有重大影响。
批准的合同条款只是数据出口商和进口商之间的合同义务,旨在保护数据主体的利益。它们可以是委员会批准使用的标准条款,也可以是提交给相关当局事先批准的特殊条款( GDPR ,第46(2)(c)-(d) 和 46(3)(a) 条)。尽管委员会批准的条款是标准化的,但要使相关合同的各方生效,必须包含大量关于要传输的个人数据的性质、要进行的数据处理的目的的操作细节等等。
4.6.3 根据国际司法互助条约移交
GDPR禁止的个人数据传输可以在外国国家警察机构根据司法互助条约(GDPR,第 48 条)的条款请求协助等情况下进行。(另请参见第2.3.9节。)此类转移在 2016/680号指令、GDPR第35-40 条中特别提及。
4.6.4 允许转让的减损
在没有任何其他允许转让的机制的情况下,在某些有限的情况下仍允许从EEA出口,例如:
n数据主体在知情的情况下明确同意转移;
n为了履行与数据主体的合同,或为数据主体的利益而与第三方签订的合同,传输是必要的;
n转让符合重要的公共利益;
n转让与法律索赔的追求或辩护有关;或者
n传输对于保护无法同意的数据主体的生命或福利是必要的。
这些减损(GDPR,第49条)旨在进行狭义解释,欧洲数据保护委员会已就这些措施的解释和应用发布了指南。
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1法律法规(十六)国际数据传输
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论